Криптосистема Боне — Го — Ниссима: различия между версиями

Криптосистема Боне-Го-Ниссима — частично гомоморфная криптосистема, являющаяся модификацией криптосистемы Пэйе^[1] и криптосистемы Окамото-Учиямы^[2], разработанная Дэном Бонех^[3] совместно с Ю Чжин Го и Коби Ниссимом^[4] в 2005 году. Основанная на конечных группах составного порядка, которые поддерживают билинейное отображение, система позволяет оценить многовариантные квадратичные полиномы на шифротекстах (например, дизъюктивная нормальная форма второго порядка (2-ДНФ)).

Благодаря использованию конструкции криптосистемы Пэйе и билинейного отбражения, получена система с аддиитивным гомоморфизмом, которая поддерживает произвольные добавления и одно умножение (за которым следуют произвольные добавления) для зашифрованных данных.^[5]

Генерация ключей

Генерация_Ключа(${\displaystyle \tau }$): Учитывая параметр безопасности ${\displaystyle \tau \in \mathbb {Z} ^{+}}$, вычисляем ${\displaystyle \Im (\tau )}$, чтобы получить кортеж ${\displaystyle ({\boldsymbol {q}}_{1},{\boldsymbol {q}}_{2},\mathbb {G} ,\mathbb {G} _{1},{\boldsymbol {f}})}$. Пусть ${\displaystyle {\boldsymbol {n}}={\boldsymbol {q}}_{1}{\boldsymbol {q}}_{2}}$. Выберем два случайных генератора ${\displaystyle {\boldsymbol {g}},{\boldsymbol {u}}{\xleftarrow {R}}\mathbb {G} }$ и определим ${\displaystyle {\boldsymbol {h}}}$, как ${\displaystyle {\boldsymbol {h}}={\boldsymbol {u}}^{\boldsymbol {q_{2}}}}$. Тогда ${\displaystyle {\boldsymbol {h}}}$ это случайный генератор подгруппы ${\displaystyle \mathbb {G} }$ порядка ${\displaystyle {\boldsymbol {q_{1}}}}$. Открытый ключ : ${\displaystyle {\mathcal {O}}{\mathcal {K}}=({\boldsymbol {n}},\mathbb {G} ,\mathbb {G_{1}} ,{\boldsymbol {f}},{\boldsymbol {g}},{\boldsymbol {h}})}$. Закрытый ключ : ${\displaystyle {\mathcal {S}}{\mathcal {K}}={\boldsymbol {q_{1}}}}$.^[6][7]

Работа в режиме шифрования

Шифрование

Шифр(${\displaystyle {\mathcal {O}}{\mathcal {K}},{\mathcal {M}}}$): Мы предполагаем, что пространство сообщений состоит из целых чисел в наборе {0,1}. Чтобы зашифровать сообщение ${\displaystyle {\mathcal {M}}}$ с помощью открытого ключа ${\displaystyle {\mathcal {O}}{\mathcal {K}}}$ выбераем случайный параметр ${\displaystyle {\boldsymbol {r}}{\xleftarrow {R}}\{0,1,...,{\boldsymbol {n}}-1\}}$ и вычисляем

${\displaystyle {\boldsymbol {C}}={\boldsymbol {g}}^{\mathcal {M}}{\boldsymbol {h}}^{\boldsymbol {r}}\in \mathbb {G} }$ .

Полученный результат и есть шифротекст.^[6][7]

Расшифрование

Расшифр(${\displaystyle {\mathcal {S}}{\mathcal {K}},{\mathcal {C}}}$): Чтобы расшифровать шифротекст используя закрытый ключ ${\displaystyle {\mathcal {S}}{\mathcal {K}}={\boldsymbol {q_{1}}}}$, рассмотрим следующее выражение

${\displaystyle {\boldsymbol {C}}^{\boldsymbol {q_{1}}}=({\boldsymbol {g}}^{\mathcal {M}}{\boldsymbol {h}}^{\boldsymbol {r}})^{q_{1}}=({\boldsymbol {g}}^{q_{1}})^{\mathcal {M}}}$ .

Пусть ${\displaystyle {\hat {\boldsymbol {g}}}={\boldsymbol {g}}^{q_{1}}}$ . Чтобы восстановить ${\displaystyle {\mathcal {M}}}$ достаточно вычислить дискретный логарифм ${\displaystyle {\boldsymbol {C}}^{q_{1}}}$ по основанию ${\displaystyle {\hat {\boldsymbol {g}}}}$.

Следует отметить, что дешифрование в этой системе занимает полиномиальное время в размере пространства сообщений.^[6][7]

Пример

Частично гомоморфная система позволяет оценить 2-ДНФ.

На входе: У Алисы есть 2-ДНФ формула ${\displaystyle \phi (x_{1},...,x_{n})=\lor _{i=1}^{k}(l_{i,1}\land l_{i,2})}$, а у Боба есть набор переменных ${\displaystyle {\boldsymbol {a=a_{1},...,a_{n}\in \{0,1\}^{n}}}}$ . Обе стороны на входе содержат параметр безопасности ${\displaystyle \tau }$.

1. Боб выполняет следующие действия:
   1. Он исполняет алгоритм Генерация_Ключа(${\displaystyle \tau }$), чтобы вычислить ${\displaystyle {\mathcal {O}}{\mathcal {K}},{\mathcal {SK}}}$ и отправляет ${\displaystyle {\mathcal {O}}{\mathcal {K}}}$ Алисе.
   2. Он вычисляет и отправляет Шифр(${\displaystyle {\mathcal {O}}{\mathcal {K}},{\boldsymbol {a_{j}}}}$) для ${\displaystyle {\boldsymbol {j=1,...,n}}}$.
2. Алиса выполняет следующие действия:
   1. Она выполняет арифметизацию ${\displaystyle \Phi (\phi )}$ заменяя «${\displaystyle \lor }$» на «${\displaystyle +}$», «${\displaystyle \land }$» на «${\displaystyle *}$» и «${\displaystyle {\bar {x_{j}}}}$» на «${\displaystyle (1-x_{j})}$».Отметим, что ${\displaystyle \Phi }$ это полином степени 2.
   2. Алиса вычисляет шифрование ${\displaystyle {\boldsymbol {r}}*\Phi ({\boldsymbol {a}})}$ для случайно выбранного ${\displaystyle {\boldsymbol {r}}}$ используя гомоморфные свойства системы шифрования. Результат отправляется Бобу.
3. Если Боб получает шифрование "${\displaystyle 0}$", он выводит "${\displaystyle 0}$"; в противном случае, он выводит "${\displaystyle 1}$".^[8]

Вспомогательные данные о группах

Краткое рассмотрение основных групп, лежащих в основе данной системы шифрования.

Билинейные группы

Конструкция использует некоторые конечные группы составного порядка, которые поддерживают билинейное отображение. Используются следующие обозначения:

1. ${\displaystyle \mathbb {G} }$ и ${\displaystyle \mathbb {G} _{1}}$- две циклические группы конечного порядка ${\displaystyle {\boldsymbol {n}}}$.
2. ${\displaystyle {\boldsymbol {g}}}$ — генератор ${\displaystyle \mathbb {G} }$.
3. ${\displaystyle {\boldsymbol {f}}}$ — билинейное отображение ${\displaystyle {\boldsymbol {f}}:\mathbb {G} \times \mathbb {\mathbb {G} } \rightarrow \mathbb {G} _{1}}$. Другими словами, для всех ${\displaystyle {\boldsymbol {u}},{\boldsymbol {v}}\in \mathbb {G} }$ и ${\displaystyle {\boldsymbol {a}},{\boldsymbol {b}}\in \mathbb {Z} }$ мы имеем ${\displaystyle {\boldsymbol {f}}({\boldsymbol {u}}^{\boldsymbol {a}},{\boldsymbol {v}}^{\boldsymbol {b}})={\boldsymbol {f}}({\boldsymbol {u}},{\boldsymbol {v}})^{{\boldsymbol {a}}{\boldsymbol {b}}}}$. Мы также требуем выполнение условия : ${\displaystyle {\boldsymbol {f}}({\boldsymbol {g}},{\boldsymbol {g}})}$ является генератором ${\displaystyle \mathbb {G} _{1}}$

Мы говорим, что ${\displaystyle \mathbb {G} }$ — билинейная группа, если существует группа ${\displaystyle \mathbb {G} _{1}}$ и билинейное отображение, определённое выше.^[7]

Построение билинейных групп заданого порядка ${\displaystyle {\boldsymbol {n}}}$

Пусть ${\displaystyle {\boldsymbol {n}}}$ > 3 — заданное число, которое не делится на 3. Построим билинейную группу ${\displaystyle \mathbb {G} }$ порядка ${\displaystyle {\boldsymbol {n}}}$ следующим образом:

1. Найдем наименьшее натуральное число ${\displaystyle \ell \in \mathbb {Z} }$ , такое что ${\displaystyle {\boldsymbol {p}}=\ell {\boldsymbol {n}}-1}$ — простое число и ${\displaystyle p=2{\bmod {3}}}$.
2. Рассмотрим группу точек на эллиптической кривой ${\displaystyle y^{2}=x^{3}+1}$ опреленную над ${\displaystyle \mathbb {F} _{\boldsymbol {p}}}$. Поскольку ${\displaystyle p=2{\bmod {3}}}$ кривая имеет ${\displaystyle {\boldsymbol {p}}+1=\ell {\boldsymbol {n}}}$ точек в ${\displaystyle \mathbb {F} _{\boldsymbol {p}}}$. Поэтому группа точек на кривой имеет подруппу порядка ${\displaystyle {\boldsymbol {n}}}$, которую обозначим через ${\displaystyle \mathbb {G} }$.
3. Пусть ${\displaystyle \mathbb {G} _{1}}$ подгруппа в ${\displaystyle \mathbb {F} _{{\boldsymbol {p}}^{2}}^{*}}$порядка ${\displaystyle {\boldsymbol {n}}}$. Модифицированный алгоритм спаривания Вейля (Спаривание Вейля является билинейным, кососимметричным, невырож­денным отображением^{[9][4][10][11]}) на кривой выдает билинейное отображение ${\displaystyle {\boldsymbol {f}}:\mathbb {G} \times \mathbb {\mathbb {G} } \rightarrow \mathbb {G} _{1}}$, удовлетворяющее заданным условиям.

Алгоритм, основанный на задаче Бёрнсайда

Определим алгоритм ${\displaystyle \Im }$, который при заданном параметре безопасности ${\displaystyle \tau \in \mathbb {Z} ^{+}}$ выводит кортеж ${\displaystyle ({\boldsymbol {q}}_{1},{\boldsymbol {q}}_{2},\mathbb {G} ,\mathbb {G} _{1},{\boldsymbol {f}})}$, где ${\displaystyle \mathbb {G} }$ и ${\displaystyle \mathbb {G} _{1}}$ группы порядка ${\displaystyle {\boldsymbol {n}}={\boldsymbol {q}}_{1}{\boldsymbol {q}}_{2}}$ и ${\displaystyle {\boldsymbol {f}}:\mathbb {G} \times \mathbb {\mathbb {G} } \rightarrow \mathbb {G} _{1}}$ — билинейное отображение. На входе известен параметр ${\displaystyle \tau }$, алгоритм ${\displaystyle \Im }$ работает следующим образом:

1. Сгенерируем два случайных ${\displaystyle \tau }$ — битовых числа ${\displaystyle {\boldsymbol {q}}_{1}}$ и ${\displaystyle {\boldsymbol {q}}_{2}}$ и положим ${\displaystyle {\boldsymbol {n}}={\boldsymbol {q}}_{1}{\boldsymbol {q}}_{2}\in \mathbb {Z} }$.
2. Создадим билинейную группу ${\displaystyle \mathbb {G} }$ порядка ${\displaystyle {\boldsymbol {n}}}$, как описанно в разделе выше. Пусть ${\displaystyle {\boldsymbol {g}}}$ — генератор ${\displaystyle \mathbb {G} }$, а ${\displaystyle {\boldsymbol {f}}:\mathbb {G} \times \mathbb {\mathbb {G} } \rightarrow \mathbb {G} _{1}}$ — билинейное отображение.
3. На выходе получим ${\displaystyle ({\boldsymbol {q}}_{1},{\boldsymbol {q}}_{2},\mathbb {G} ,\mathbb {G} _{1},{\boldsymbol {f}})}$.

Пусть ${\displaystyle \tau \in \mathbb {Z} ^{+}}$, а ${\displaystyle ({\boldsymbol {q}}_{1},{\boldsymbol {q}}_{2},\mathbb {G} ,\mathbb {G} _{1},{\boldsymbol {f}})}$ - кортеж, созданный ${\displaystyle \Im }$, где ${\displaystyle {\boldsymbol {n}}={\boldsymbol {q}}_{1}{\boldsymbol {q}}_{2}}$. Рассмотрим следующую задачу. Для заданного ${\displaystyle ({\boldsymbol {n}},\mathbb {G} ,\mathbb {G} _{1},{\boldsymbol {f}})}$ и элемента ${\displaystyle {\boldsymbol {x}}\in \mathbb {G} }$, выведем "${\displaystyle 1}$", если порядок ${\displaystyle {\boldsymbol {x}}}$ равен ${\displaystyle {\boldsymbol {q_{1}}}}$, в противном случае, выведем "${\displaystyle 0}$". Другими словами, без знания факторизации группы порядка ${\displaystyle {\boldsymbol {n}}}$, необходимо узнать, находится ли элемент ${\displaystyle {\boldsymbol {x}}}$ в подгруппе группы ${\displaystyle \mathbb {G} }$. Данная задача называется задачей Бернсайда.^[7]

Гомоморфные свойства

Система является аддитивно гомоморфной. Пусть ${\displaystyle ({\boldsymbol {n}},\mathbb {G} ,\mathbb {G_{1}} ,{\boldsymbol {f}},{\boldsymbol {g}},{\boldsymbol {h}})}$ — открытый ключ. Пусть ${\displaystyle {\boldsymbol {C_{1}}},{\boldsymbol {C_{2}}}\in \mathbb {G} _{1}}$ — шифротексты сообщений ${\displaystyle {\boldsymbol {m_{1}}},{\boldsymbol {m_{2}}}\in \{0,1\}}$ соответственно. Любой может создать равномерно распределенное шифрование ${\displaystyle {\boldsymbol {m_{1}}}+{\boldsymbol {m_{2}}}{\bmod {\boldsymbol {n}}}}$ вычисляя произведение ${\displaystyle {\boldsymbol {C}}={\boldsymbol {C_{1}}}{\boldsymbol {C_{2}}}{\boldsymbol {h}}^{\boldsymbol {r}}}$ для случайного чила ${\displaystyle {\boldsymbol {r}}}$ в диапазоне ${\displaystyle \{0,1,...,{\boldsymbol {n}}-1\}}$.

Более важно то, что любой может умножить два зашифрованных сообщения один раз, используя билинейное отображение. Определим ${\displaystyle {\boldsymbol {g_{1}}}={\boldsymbol {f}}({\boldsymbol {g}},{\boldsymbol {g}})}$ и ${\displaystyle {\boldsymbol {h_{1}}}={\boldsymbol {f}}({\boldsymbol {g}},{\boldsymbol {h}})}$ . Тогда ${\displaystyle {\boldsymbol {g_{1}}}}$ порядка ${\displaystyle {\boldsymbol {n}}}$, а ${\displaystyle {\boldsymbol {h_{1}}}}$ порядка ${\displaystyle {\boldsymbol {q_{1}}}}$. Кроме того, для некоторого (неизвестного) параметра ${\displaystyle \alpha \in \mathbb {Z} }$, напишем ${\displaystyle {\boldsymbol {h}}={\boldsymbol {g}}^{\alpha {\boldsymbol {q_{2}}}}}$ . Предположим, что нам известны два шифротекста ${\displaystyle {\boldsymbol {C_{1}}}={\boldsymbol {g}}^{\boldsymbol {m_{1}}}{\boldsymbol {h}}^{\boldsymbol {r_{1}}}\in \mathbb {G} }$ ${\displaystyle {\boldsymbol {C_{2}}}={\boldsymbol {g}}^{\boldsymbol {m_{2}}}{\boldsymbol {h}}^{\boldsymbol {r_{2}}}\in \mathbb {G} }$. Чтобы построить шифрование произведения ${\displaystyle {\boldsymbol {m_{1}}}*{\boldsymbol {m_{2}}}{\bmod {\boldsymbol {n}}}}$, выберем случайное число ${\displaystyle {\boldsymbol {r}}\in \mathbb {Z_{n}} }$ и положим ${\displaystyle {\boldsymbol {C}}={\boldsymbol {f}}({\boldsymbol {C_{1}}},{\boldsymbol {C_{2}}}){\boldsymbol {h_{1}^{r}}}\in \mathbb {G} _{1}}$. Получаем ${\displaystyle {\boldsymbol {C=f(C_{1},C_{2})h_{1}^{r}=f(g^{m_{1}}h^{r_{1}},g^{m_{2}}h^{r_{2}})h_{1}^{r}=g^{m_{1}m_{2}}h^{m_{1}r_{2}+r_{2}m_{1}+\alpha q_{2}r_{1}r_{2}+r}=g_{1}^{m_{1}m_{2}}h_{1}^{\tilde {r}}}}\in \mathbb {G} _{1}}$, где${\displaystyle {\boldsymbol {{\tilde {r}}=m_{1}r_{2}+r_{2}m_{1}+\alpha q_{2}r_{1}r_{2}+r}}}$ — распределено равномерно в ${\displaystyle \mathbb {Z_{n}} }$, как и необходимо.

Таким образом, ${\displaystyle {\boldsymbol {C}}}$ является равномерно распределенным шифрованием ${\displaystyle {\boldsymbol {m_{1}}}*{\boldsymbol {m_{2}}}{\bmod {\boldsymbol {n}}}}$, но только в группе ${\displaystyle \mathbb {G} _{1}}$, а не в ${\displaystyle \mathbb {G} }$ (поэтому допускается только одно умножение).^[6]

Стойкость системы

Стойкость данной схемы основана на задаче Бернсайда . А именно, зная элемент группы составного порядка ${\displaystyle {\boldsymbol {n}}={\boldsymbol {q}}_{1}{\boldsymbol {q}}_{2}}$, невозможно определить его приналежность к подгруппе порядка ${\displaystyle {\boldsymbol {q_{1}}}}$. Понятно, что если мы можем учесть групповой порядок ${\displaystyle {\boldsymbol {n}}}$ в криптосистеме, то мы знаем закрытый ключ ${\displaystyle {\boldsymbol {q_{1}}}}$, и в результате система взломана. Кроме того, если мы можем вычислить дискретные логарифмы в группе ${\displaystyle \mathbb {G} }$, то мы можем вычислить ${\displaystyle {\boldsymbol {q_{2}}}}$ и ${\displaystyle {\boldsymbol {q_{1}=n/q_{2}}}}$. Таким образом, необходимые условия для безопасности: сложность факторинга ${\displaystyle {\boldsymbol {n}}}$ и сложность вычисления дискретных логарифмов в ${\displaystyle \mathbb {G} }$.^[12]

Требования к стойкости для модели "Алиса - Боб"

Поскольку только одна сторона моет узнать результат (в нашем случае - Боб):

• Безопасность Боба - Мы требуем, чтобы Алиса не могла видеть разницу между различными возможными входными данными Боба.
• Безопасность Алисы - Безопасность Алисы формируется требованием о не получением Бобом никакой информации помимо того, удовлетворяет ли ${\displaystyle {\boldsymbol {a}}}$ ${\displaystyle \phi ()}$.^[13]

Примечание

Литература

• С.М. Владимиров, Э.М. Габидулин, А. И. Колыбельников, А.С. Кшевецкий. Криптографические методы защиты информации. — 2-е изд. — МФТИ, 2016. — С. 225—257. — 266 с. — ISBN 978-5-7417-0615-2.
• С.И.Адян. Проблема Бернсайда и связанные с ней вопросы. // УМН. — 2010. — Сентябрь (т. 65, вып. 5).